Nội dung bài viết
Người bán Sound Blaster Katana V2X không coi hành vi này là một lỗ hổng. Các nhà sản xuất hệ điều hành thực hiện nhiều bước để ngăn sản phẩm của họ chấp nhận lệnh từ các thiết bị từ xa.
Các biện pháp bảo vệ, được thiết kế để ngăn chặn các cuộc tấn công độc hại, thường yêu cầu tin tặc vượt qua mọi loại vòng để vượt qua các biện pháp. Nhưng điều gì sẽ xảy ra nếu việc thực thi mã từ xa đơn giản như trong phạm vi Bluetooth của loa được kết nối với thiết bị được nhắm mục tiêu?
Hóa ra là có thể, ít nhất là khi loa là Sound Blaster Katana V2X được bán bởi Creative Technologies có trụ sở tại Singapore. Chiếc loa được bán với giá 283 USD này được đánh giá cao với nhiều đánh giá khen ngợi về âm thanh và hiệu suất của nó cũng như người tiền nhiệm của nó, Sound Blaster V2.
Nhà nghiên cứu Rasmus Moorats tình cờ phát hiện ra vụ hack này sau khi anh mua Katana V2X, một soundbar kết nối với PC, Mac và các thiết bị Linux qua USB hoặc Bluetooth. Moorats tò mò liệu anh có thể tạo ra một công cụ Linux có thể giao tiếp với loa của mình hay không.
Anh phát hiện ra mình có thể làm điều đó thông qua CTP, một cơ chế độc quyền mà anh đoán là viết tắt của Creative Transport Protocol. CTP cho phép các thiết bị được kết nối qua Bluetooth hoặc USB gửi dấu phẩy đến loa, chẳng hạn như thay đổi màu đèn LED và cài đặt bộ chỉnh âm.
CTP cũng cho phép các thiết bị được kết nối nhận phản hồi từ loa. Trước sự ngạc nhiên của Moorat, thiết bị Bluetooth của anh ấy có thể kết nối với loa được kết nối với PC qua USB mà không cần bất kỳ xác thực nào.
Không chỉ vậy, thiết bị Bluetooth của anh ấy còn không cần phải được ghép nối trước. Cũng đáng ngạc nhiên: Một trong những lệnh CTP, được gắn nhãn “tải chương trình cơ sở mới lên thiết bị”, cho phép anh ta thay thế chương trình cơ sở chính thức bằng chương trình cơ sở tùy chỉnh của riêng mình.
Việc khởi động lại chương trình cơ sở không sử dụng tính năng ký mã hoặc các biện pháp khác để ngăn chặn việc tải mã không chính thức.
Sau khi thay thế thành công phần sụn bằng một hình ảnh thay thế không có chức năng gì khác ngoài hiển thị từ “đã vá” trên màn hình LED của loa, nhà nghiên cứu bắt đầu tự hỏi tin tặc có thể làm gì khác. Vì vậy, anh chuyển sự chú ý sang FreeRTOS, hệ điều hành nguồn mở chạy Katana V2X.
Nó chứa một tập hợp các chức năng HID để cho phép loa hoạt động như một thiết bị giao diện con người, một phân loại bao gồm bàn phím, chuột và webcam. Người nói đã triển khai một HID giới hạn cho phép thực hiện những việc như thay đổi âm lượng và phát hoặc tạm dừng.
hát âm thanh, nhưng ít khác. Nhà nghiên cứu phát hiện ra rằng anh ta có thể thay đổi bộ mô tả USB của loa, về cơ bản là một báo cáo thông báo cho các thiết bị về khả năng của thiết bị ngoại vi được kết nối USB hoặc Bluetooth.
Anh ấy đã có thể bổ sung bộ mô tả hiện có bằng bộ mô tả thứ hai cho biết người nói là bàn phím. Sau đó, anh ấy sử dụng mã đã có trong phần sụn để đơn giản hóa quá trình gửi phím nhấn.
Tất cả những điều này khiến Moorats nảy ra một ý tưởng: Điều gì sẽ xảy ra nếu anh ấy sử dụng thiết bị của mình để gửi lệnh đến loa sử dụng HID để truyền chúng đến PC được kết nối? Sau một số thử nghiệm và sai sót, anh thấy rằng mình có thể làm được.
Trong một bài đăng trên blog được xuất bản vào thứ Tư, anh ấy viết: Kết hợp tất cả lại với nhau, tôi có thể hoàn toàn từ xa, qua mạng, tải một chương trình cơ sở tùy chỉnh lên loa của tôi mà tôi chưa ghép nối, chương trình cơ sở này sẽ khởi động lại, flash chương trình cơ sở tùy chỉnh và sau khi khởi động lại, hãy nhập lệnh echo pwned và thực thi nó.
Trong một kịch bản tấn công thực sự, tôi sẽ thực hiện các thao tác nhấn phím để mở powershell.exe hoặc tương tự và dán một đoạn mã thực sự độc hại vào đó, nhưng để chứng minh khái niệm, điều này là quá đủ đối với tôi.
Kẻ tấn công thực sự cũng có khả năng vô hiệu hóa t Anh ta thường xuyên cập nhật chương trình cơ sở ở cả chế độ bình thường và chế độ khôi phục, khiến không thể xóa chương trình cơ sở độc hại khỏi thiết bị hoặc vá lỗi trong tương lai.
Điều này càng trở nên tồi tệ hơn bởi thực tế là Bluetooth luôn bật cho loa, ngay cả ở chế độ ngủ mà không có cách nào rõ ràng để tắt nó. Trước khi loa và thiết bị kết nối USB có thể tương tác, chúng phải hoàn tất thành công quy trình xác thực thử thách và phản hồi.
Vì các thiết bị tự động thực hiện việc bắt tay này mỗi khi phần mềm khởi động nên đây thường không phải là vấn đề đối với tin tặc. Tuy nhiên, trong một số trường hợp nhất định, chẳng hạn như khi ứng dụng Katana V2X không mở trên thiết bị được kết nối thì đó là một yêu cầu.
Tuy nhiên, việc xác thực là một trở ngại đủ đơn giản để giải quyết vì phản hồi chính xác có thể được trích xuất từ tệp nhị phân ứng dụng đi kèm với loa. Điều đáng ngạc nhiên là các thiết bị được kết nối Bluetooth không cần phải thực hiện thử thách và phản hồi như vậy.
Moorat đã báo cáo phát hiện của mình cho Creative Technologies nhưng chưa bao giờ nhận được phản hồi. Sau đó ông đã đưa CERT Singapore đến để can thiệp.
Cuối cùng, tổ chức đã nhận được phản hồi từ công ty. Nó cho biết các kỹ sư của công ty không coi hành vi này là một lỗ hổng ty.
Nhà nghiên cứu đã thử nghiệm cuộc tấn công vào một máy Windows được kết nối. Cần nhắc lại rằng các vụ hack được mô tả chỉ có thể được thực hiện khi kẻ tấn công ở trong phạm vi Bluetooth của loa.
Đó là một yêu cầu quan trọng nhằm hạn chế các cuộc tấn công đối với hàng xóm, bạn cùng nhà hoặc những người trong văn phòng gần người nói. Tuy nhiên, khả năng biến thiết bị Bluetooth thành proxy pwning PC và thiết bị nghe lén từ xa không thực sự gợi lên cảm giác ấm áp và mờ nhạt.
Nó cũng đặt ra câu hỏi: Những thiết bị Bluetooth nào khác có thể khiến người dùng gặp phải các cuộc tấn công tương tự? Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm.
Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin. Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.